深度解析gartner（Gartner防火牆魔力象限華為）

2023-06-21 21:27:38 1

Gartner修改了網絡防火牆的定義。隨著我們看到更多的客戶轉向混合網絡，並尋求雲端防火牆功能，雲供應商也在向客戶提供原生防火牆功能。傳統防火牆也為這些雲平臺提供支持。因此今年開始，Gartner已開始還評估雲提供商以及獨立防火牆供應商的原生防火牆功能。同樣在今年，《企業防火牆魔力象限》和《統一威脅管理（UTM）魔力象限》已合二為一：《網絡防火牆魔力象限》。

Gartner對網絡防火牆市場的定義如下：該魔力象限介紹的網絡防火牆市場主要由提供雙向控制（出站和入站）以保護網絡安全的防火牆組成。這些網絡可以是本地、混合（本地和雲）、公共雲或私有雲。網絡防火牆還可能提供額外功能，比如應用程式感知及控制、入侵檢測及預防、高級的惡意軟體檢測、日誌記錄和報告。服務該市場的公司明確專注於基於網絡的防火牆控制——這可以通過銷售額的比例來體現（藉助支持團隊、銷售團隊和渠道來交付）。這些供應商提供專用於滿足防火牆需求，並支持防火牆相關使用場景的功能。

該魔力象限包括下列類型的網絡防火牆：

曾入圍企業防火牆魔力象限，但由於該供應商沒有專注於增強產品的安全功能，2016年跌出了象限。今年，由於我們修改了網絡防火牆的定義，加上F5單子中出現了AFM（防火牆模塊），Gartner再次新增了這家供應商。

微軟：隨著公共雲日益得到採用，公共IaaS供應商們正在產品中引入原生防火牆功能。由於微軟Azure是今年客戶諮詢中最常提及的IaaS提供商之一，Gartner評估了該供應商。

山石網科：這家中國安全廠商已添加到本研究報告中。山石網科早已入圍《UTM魔力象限》，但它也符合今年《企業防火牆魔力象限》的入圍標準

跌出的供應商

由於入圍標準發生了變化，下列供應商因不再符合標準而跌出象限：

Ahnlab：AhnLab總部位於韓國，是一家區域性安全供應商，主要在韓國提供網絡安全、端點安全產品和安全諮詢服務。

市場概況

2018年，全球市場防火牆收入增長了15.9%（而2017年增長17.5%，2016年增長15.2%）。雖然防火牆供應商繼續在防火牆中提供多種功能，但現在總的訂購成本更高。防火牆供應商在防火牆產品中提供內置功能的同時，還提供與防火牆配合使用的服務和產品，比如雲訪問安全代理（CASB）和端點檢測和響應（EDR），這類服務/產品日漸流行起來。其中，中小企業多功能防火牆市場在2018年增長10.1%，SD-WAN得到採用是強大的推手。Gartner還發現客戶對防火牆供應商針對分布式辦公室和漫遊員工這些使用場景提供的各種基於雲的出站過濾服務頗感興趣。

今年，Gartner防火牆方面的客戶諮詢越來越關注：

支持公共IaaS平臺和相關功能

雲服務產品

SD-WAN

高級的威脅檢測功能

因此，除了該魔力象限的評估標準中提到的其他功能外，考慮到Gartner客戶表現出來的強烈興趣，Gartner還對提供這些附加功能和服務的供應商給予了高度評價。

今年，我們沒有看到大多數防火牆供應商推出任何新的主要功能。大多數供應商在以下方面增強了功能：威脅檢測、集中式管理和編排、支持更好的TLS版本、SD-WAN 、性能

隨著混合多雲環境迅速得到採用，更多企業將依靠傳統的防火牆供應商以獲取網絡安全控制，作為原生雲控制之外的另一層保護。

從今年的受訪防火牆參考客戶處獲得的結果其要點如下：

除了純粹的防火牆功能外，IDPS、應用程式控制和URL過濾仍是客戶使用的三大安全功能。除了提到的這三大安全功能外，今年我們還看到VPN是客戶使用的主要安全功能之一。

根據調查，今年Gartner還看到防火牆供應商提供的CASB和EDR得到更廣泛的採用。我們還發現，包含CASB和EDR許可證等額外產品的防火牆單子小幅增加。

89%的受訪客戶一致認為，如果可以選擇，他們寧願將NTA、EDR、網絡沙盒、UEBA和欺騙等高級功能整合到防火牆上，而不是將它們作為單獨的獨立平臺來使用。根據Gartner防火牆分析師接到的諮詢，我們發現，客戶渴望基於供應商為應對高級威脅而提供的IDPS、反惡意軟體和沙盒之外的不同技術，把供應商列入最終名單。Gartner還看到Palo Alto Networks和思科等供應商向EDR客戶推銷，聲稱可以更好地關聯防火牆與端點之間的威脅。儘管我們看到中級市場的這些客戶有所採用，但企業級客戶仍更喜歡選擇獨立EDR供應商。在受訪客戶當中，64%的客戶提到在使用獨立EDR產品。防火牆供應商正向客戶提供ELA單子，以銷售多種產品和服務。

50%的受訪客戶強調如今自己在使用公共IaaS。22%的客戶表示在使用IaaS提供商提供的原生防火牆控制系統，19%的客戶表示在使用現有的本地防火牆來保護雲，剩餘9%的客戶強調在使用第三方供應商提供的服務來保護雲。Gartner分析師接到的防火牆選擇諮詢越來越多，即使客戶今天沒有在使用公共雲，對防火牆供應商提供的對IaaS平臺的支持級別仍是個重要的選擇標準。

公共雲上防火牆使用這個使用場景日益普遍。雖然大多數防火牆供應商都為一線IaaS提供商提供BYOL和按需付費的款式，但目前缺乏管理防火牆規則和原生IaaS控制的集中式管理功能。因此，客戶應考慮使用網絡安全策略管理（NSPM）之類的專用工具（比如Tufin、AlgoSec、FireMon和Skybox Security），以管理混合網絡安全控制系統。

雖然一些防火牆供應商確實擁有專門面向公共雲的產品，但它們尚未與防火牆集中管理系統整合起來。這個領域的一些典型產品包括：

Check Point Software Technologies CloudGuard Dome9

思科Stealthwatch Cloud和思科Tetration

飛塔Security Fabric

瞻博Junos Space Security Director

Palo Alto Networks Prisma Cloud

Gartner客戶反映公共雲上部署防火牆並不順利，但供應商的技術支持團隊在幫助解決問題。大體上講，大多數防火牆供應商在為公共IaaS提供商提供成熟的控制系統和支持以滿足最終用戶需求方面一直進展緩慢：

在所有受訪客戶當中，23%的客戶表示在使用防火牆供應商提供的API集成功能，將網絡中的其他安全產品整合起來。雖然Gartner建議客戶應集成安全解決方案以獲得更好的自動化和關聯功能，但API集成對於大多數企業而言並非易事。因此，它僅限於大企業和數據中心部署。

由於僅滿足分支機構出站流量這個使用場景，FWaaS市場仍未受到太大的追捧。它無法滿足以下使用場景的需要：

內部隔離

較大站點的吞吐量要求

網際網路帶寬成問題這種場合下的性能問題

Gartner看到，Palo Alto Networks提供的GlobalProtect FWaaS因支持分支機構出站流量使用場景而在該供應商的現有客戶群中受到一定的追捧。這個領域的另外幾家獨立FWaaS供應商包括：

Cato Networks

Digital Shield

OPAQ

Versa

Zscaler

全球市場不斷加劇的地緣政治貿易衝突可能會影響製造和交付包括網絡防火牆等安全設備在內的硬體所需的供應鏈。這將使許多中國供應商面臨這個風險。強烈建議客戶在最終將中國供應商列入最終名單之前，密切關注這些全球動向及其對供應鏈造成的影響。

供應商優勢和注意事項

新華三：新華三的總部位於北京和杭州。直到2016年它一直作為HPE的子公司來經營，現在是清華紫光集團的一部分。這家基礎設施供應商擁有龐大的產品組合，包括安全產品（還包含防火牆）、雲計算產品、交換機、路由器、無線區域網（WLAN）產品和管理產品。

新華三繼續在產品中引入不同的安全產品。SecPath防火牆支持UniCloud公共IaaS平臺，只支持自帶許可證（BYOL）模式。防火牆主要被中國的客戶列入最終名單，該供應商在中國擁有最大的客戶群。

該供應商的SecPath防火牆系列包括14款物理設備和虛擬防火牆。

最近的產品新聞包括推出一個新的中小企業系列和性能增強。

優勢：新華三的防火牆提供一條單獨的工業防火牆產品線，名為Industrial Control Security，這包括工業控制防火牆、項目監控和主機安全軟體。

產品（NTA）：該供應商提供一個NTA平臺，這個安全態勢感知系統可收集整個網絡上的網絡流量數據及其他數據。該產品還結合了機器學習功能，提供關聯數據，並基於熱圖及其他形式的圖形加以顯示。該產品可以與防火牆集成起來，基於策略採取操作。

產品（NAC）：該供應商提供原生NAC解決方案，其功能可與防火牆集成起來。NAC解決方案名為新華三智能管理中心（iMC），提供跨雲和數據中心的集中式管理功能、最終用戶管理、園區網絡和無線管理等功能。

產品：集中式安全服務管理器（SSM）將產品管理功能擴大到了防火牆以外的其他新華三產品，比如WAF和負載均衡系統，因而為使用上述產品的新華三客戶提供集中式管理功能。SSM還為中國公共IaaS供應商UniCloud提供的原生控制提供管理和可見性功能。

客戶反饋：受訪客戶聲稱易於管理和操作是這家供應商的優勢。

注意事項

執行：新華三防火牆只以BYOL模式對UniCloud提供支持。它們僅作為VPN和NAT網關按需提供。希望利用公共雲上新華三防火牆完整功能的客戶只能使用BYOL這一款。

市場響應能力：該供應商在防火牆中沒有集成的SD-WAN功能，這是分布式企業連接需要的一項功能。

技術功能：新華三防火牆不支持基於TLS 1.3的解密。

地理策略：該供應商主要在中國布局，在亞太區其他地區沒有布局。Gartner並未看到中國以外的客戶將新華三列入最終名單。

山石網科：山石網科的總部位於蘇州，區域總部在加利福尼亞州聖克拉拉。該供應商是一家老牌的網絡安全廠商，提供邊界、雲和伺服器安全解決方案。山石網科防火牆非常適合被擁有混合網絡（比如本地環境、雲環境和虛擬化環境）的企業列入最終名單，這些企業主要在中國、東南亞和拉美。

山石網科防火牆擁有專用於微隔離和公共IaaS平臺的防火牆產品線。因此，它們很適合用於混合網絡。該供應商主要被中國的客戶列入最終名單，在歐洲、中東和非洲以及拉美的客戶群日漸龐大。

該供應商提供了多條防火牆產品線，即E系列NGFW、T系列iNGFW和X系列數據中心防火牆。它還提供CloudEdge（虛擬NGFW）、CloudHive（微隔離）和CloudPano（通過電信公司提供的託管FWaaS，僅限於中國市場）。CloudEdge為AWS、Azure、阿里雲、騰訊雲和華為雲提供支持。其他安全產品包括IDPS、WAF、應用交付控制器、ABG、DLP和DAP（幾款產品僅在中國市場有售）。

2018年，該供應商推出了兩款新品：X10800和CloudEdge VM04。其他產品更新包括威脅檢測增強功能和固件版本。

為數不多的中國網絡安全供應商之一正逐步擴大到中國以外的其他地區，比如拉美、東南亞、中東和歐洲，山石網科是其中之一。

優勢：微隔離：山石網科CloudHive是一條專門的產品線，聯合VMware NSX提供成熟的微隔離功能。CloudHive提供眾多功能，比如實時可視化映射、自動發現新的虛擬網絡以及跨虛擬機的集中式威脅檢測。

平臺：該供應商提供其NTA平臺山石網科sBDS，全球有售。該平臺使用包括NTA在內的不同檢測技術，為山石網科客戶執行高級的威脅檢測和分析。該供應商還提供一款名為iSource的SIEM解決方案，目前僅在中國有售。

產品：該供應商在T系列防火牆上將行為分析作為一項額外的訂購服務來提供。對於在防火牆內尋找網絡沙盒之外的其他威脅檢測功能的企業而言，這使它很容易進入最終名單。

客戶反饋：受訪客戶對防火牆的VPN功能給予了高度評價，聲稱在多個站點之間易於配置和管理。

注意事項

SD-WAN：山石網科防火牆缺乏SD-WAN功能，當今許多競爭對手都在提供這種功能。這使得山石網科對分布式辦公室連接使用場景而言不是很理想。

產品執行：該供應商提供了防火牆設備的不同產品線：T系列、E系列和X系列，比較彼此之間的功能區別時，容易給最終用戶造成困惑。

產品：該供應商不提供本地網絡沙盒。不得將數據發送到外部的受監管行業客戶需要這項功能。

特色：雖然山石網科與全球和區域EDR供應商建立了合作夥伴關係，但它沒有提供一個通用的威脅關聯門戶網站，以方便尋求更出色的威脅檢測功能的防火牆用戶。

可見性：儘管該供應商聲稱擴大到中國以外，但在中國和拉美以外，山石網科防火牆很少出現在客戶的最終名單上。

營銷：該供應商在最終用戶市場缺少其防火牆的強大營銷，因為它瞄準國際市場，並與營銷活動更有力的全球玩家競爭。這導致它在亞洲以外的最終用戶市場缺乏知名度。

產品：該供應商提供一款基本的基於雲的防火牆管理器，該管理器僅用於監控，並缺少額外的集中式管理控制功能，比如防火牆的變更管理和零接觸配置。

華為：華為是總部位於深圳的大型基礎設施供應商。其防火牆繼續在東南亞、中東和拉美擴大客戶群。華為在電信領域布局很廣，還出現在華為的基礎設施捆綁單子中。

華為防火牆包括統一安全網關（USG）、Eudemon和虛擬防火牆等系列。USG是主要的企業系列，而Eudemon系列面向運營商和服務提供商。Agile Controller、eSight和SecoManager是支持USG系列的幾款中央管理平臺。除了防火牆外，該供應商還銷售屬於安全產品組合的IDPS、反DDoS、SIEM和Web應用防火牆等產品線。

如果客戶已經在使用華為產品或希望整合這同一家供應商的網絡和安全產品，華為防火牆是理想的選擇，因為它擁有集成功能、易於集中管理。華為為防火牆部署的不同使用場景提供多款產品，還為分布式辦公室使用場景提供成熟的SD-WAN功能。

今年的產品新聞包括SD-WAN、IDPS和Web UI等方面的增強。

優勢：易於管理：華為防火牆擁有一種易於創建的防火牆規則UI。它提供易於管理的單一UI實例，以創建防火牆策略，並實施安全策略。受訪客戶也稱易於管理是其產品的優勢之一。

產品：Agile Controller是該供應商的NAC解決方案，它還有雲版本。它有兩種版本：一種版本用於數據中心網絡，名為AC DCN。另一種版本名為AC Campus，供園區或企業使用。兩種版本都可以通過回調功能與防火牆緊密集成，並提供隔離網絡的自動化功能。

產品：該供應商提供一種名為SecoManager的本地集中管理器，該管理器擁有專用的策略編排功能，比如策略調整和策略模擬器。華為還提供可視化功能，以便新的策略顯示對流量的影響。

特色：華為防火牆對TLS 1.3提供支持，能夠針對加密流量提供更縱深的SSL解密和流量檢查功能。

產品：該供應商在其防火牆設備中提供欺騙功能。這種功能在單獨的產品映像中提供，該產品映像可以安裝在防火牆設備上，從防火牆UI內部作為一項單獨的功能加以管理。雖然今天提供的欺騙平臺很基本，但它在防火牆中提供了另外的威脅檢測功能。建議客戶評估在防火牆設備上運行該映像對性能的影響之後啟用該功能。

集成：華為提供與其大數據分析SIEM解決方案：網絡安全智能系統（CIS）直接集成的功能。集成作為防火牆UI中的一項內置選項功能來提供，可以輕鬆開啟，因而易於與華為防火牆集成、結合使用。

注意事項

執行：華為防火牆缺少與第三方安全廠商（尤其是SIEM提供商）集成的功能。受訪供應商強調這是USG防火牆的缺點。客戶將防火牆日誌發送到第三方SIEM供應商時會遇到問題。該供應商缺少其防火牆與第三方EDR解決方案之間直接集成和關聯的功能，需要CIS平臺進行關聯。因此，強烈建議客戶將華為防火牆與生態系統中第三方解決方案之間的集成功能作為最終名單上的一個重要標準來評估。

公共云：儘管以BYOL模式為多家公共IaaS提供商提供設備支持，該供應商的產品卻無法在任何IaaS平臺上以按需付費的方式來使用，而大多數防火牆供應商為多個IaaS平臺支持按需付費的許可模式。

特色：該供應商通過其雲門戶網站提供基本的集中式雲管理功能。它只能用於管理防火牆上的有限功能，一些防火牆上缺少集中式固件升級和零接觸配置功能。

銷售執行：面對不同的防火牆使用場景，比如中小企業、邊界和分布式辦公室，華為防火牆缺乏統一的布局。Gartner仍發現，大多數時候採購的防火牆大多是大筆華為基礎設施單子的一部分，而不是純粹的防火牆單子。

SDN：華為防火牆僅對華為CloudFabric平臺提供支持，缺少針對其他常見SDN平臺的支持，主要的防火牆廠商都提供這種支持。這加大了客戶對華為SDN基礎設施的依賴性。

產品策略：該供應商對與防火牆有關的基於雲的服務及其用戶缺乏關注。該供應商提供的大多數功能都基於設備。華為缺少作為SaaS產品提供的面向漫遊用戶和分布式辦公室的出站過濾雲服務。

深信服：深信服總部位於深圳，是一家IT基礎設施和安全供應商。它是區域性的中國供應商，越來越關注中國競爭對手缺乏的雲服務產品，包括FWaaS產品。它主要專注於中型企業，在東南亞布局很廣，在歐洲和中東有一些客戶群。技術支持得到了受訪客戶的高度評價。

其防火牆產品線名為深信服下一代應用防火牆（NGAF），提供物理設備和虛擬設備這兩種款式。虛擬設備可以在AWS和阿里雲上作為BYOL使用。集中式管理產品：深信服Branch Business Center（BBC）作為單獨的設備來提供。此外，深信服還提供Security Butler，這個基於雲的門戶網站提供防火牆日誌監控、安全分析和基本的事件響應。其他安全解決方案包括網絡和應用程式漏洞管理SaaS、SSL VPN、廣域網優化（WANO）、軟體定義的基礎設施和SWG解決方案。

最近的產品新聞包括集成該供應商的沙盒和威脅情報服務以增強威脅檢測功能。

優勢：產品策略：深信服為客戶提供多種基於雲的服務，包括FWaaS（基於Cloud的網絡漏洞掃描工具Cloud Eye和僅在中國市場有售的WAF Cloud Shield）、威脅情報服務Neural-x以及威脅分析門戶網站Security Butler。這使得深信服很適合分布式辦公室使用場景。

產品：該供應商提供原生EDR客戶端。它在其威脅分析雲平臺深信服Butler上提供了防火牆和EDR的威脅情報關聯，為防火牆用戶提供了額外的威脅檢測功能。

特色：深信服NGAF提供了用於安全策略部署和修改的配置嚮導，該嚮導得到受訪客戶的高度評價。嚮導在新的更改請求期間提供虛擬網絡映射。

客戶反饋：本地集中式管理系統深信服BBC受到客戶的高度評價，被認為是一款易於使用的產品，簡化了管理多個防火牆的工作。BBC還可以用於管理深信服的另外許多產品，比如SWG、WANO、SD-WAN和SSL VPN。該供應商還提供基於雲的管理器X-Central，其功能與BBC相同。

技術支持：受訪客戶對該供應商的技術支持評價很高。

注意事項

銷售執行：深信服防火牆主要被中型企業部署，該供應商開發產品時還側重於中小企業使用場景。在Gartner客戶諮詢中，深信服在大企業和數據中心的知名度不是很高。

客戶反饋：受訪客戶報告，深信服防火牆中的內置日誌記錄和報告缺乏精細度，日誌搜索起來很複雜，需要客戶購買專用的報告工具以獲得高級報告功能。本地專用報告和日誌記錄設備僅提供中文版。

布局：深信服是一家區域供應商，大部分客戶在中國。雖然它竭力擴大到亞洲其他地區、歐洲和中東，但Gartner發現它主要被東南亞的客戶列入最終名單。

客戶反饋：受訪客戶聲稱，深信服防火牆的中型企業款式不提供默認的萬兆（10 Gigabit）接口，這對於尋求更高性能的企業客戶來說是一大缺點。

產品：該供應商僅為其原生SDN平臺深信服HCI提供支持。它還僅為其原生深信服HCI公共IaaS平臺和阿里雲提供按需付費的許可模式。如果你在AWS上，無法以按需模式來使用它，它僅提供BYOL這種模式。

啟明星辰：啟明星辰的總部位於北京。如果中國的啟明星辰客戶在尋找一家在中國和日本擁有強大區域支持、又擁有經濟高效的防火牆產品的優秀本地供應商，啟明星辰是防火牆方面的出色選擇。在中國，該供應商經常出現在最終名單上：由於其龐大的產品組合，客戶更喜歡來自這同一家供應商的安全產品。

啟明星辰銷售多條防火牆產品線，即啟明星辰統一威脅管理、啟明星辰防火牆（FW）和啟明星辰下一代防火牆（NGFW）。它還出售專用的工業防火牆產品線：啟明星辰工業防火牆（IFW）。除了防火牆外，該供應商還出售WAF、IDPS、漏洞掃描工具、VPN、USM（SIEM）、APT、ADM（反DDoS）和物理安全產品。它還出售防火牆策略管理和NTA解決方案FlowEye。

今年，該供應商推出了基於VenusEye威脅情報中心的雲保護服務和擁有720GB吞吐量的高級防火牆款式。

優勢：集中式防火牆策略管理：啟明星辰FlowEye是該供應商的防火牆策略管理和NTA解決方案。該產品可以執行除啟明星辰防火牆以外的集中式防火牆策略管理，將支持對象擴大到所有領先的全球和區域防火牆玩家，比如飛塔、Check Point、Palo Alto Networks、瞻博、思科和新華三。該產品提供的其他一些關鍵功能包括配置比較、防火牆遷移和虛擬網絡映射。這有助於啟明星辰防火牆的大用戶和託管服務安全提供商（MSSP）調整策略，併集中管理其他品牌的防火牆。

產品（NTA）：啟明星辰FlowEye收集原始流量和流量記錄（比如NetFlow、Sflow和IPFIX），以分析網絡流量。它可以針對各種異常流量執行異常行為檢測，包括特洛伊木馬通道檢測、ARP欺騙檢測、網絡掃描行為檢測、蠕蟲檢測和DDoS攻擊檢測。它作為單獨的設備來提供。

產品：啟明星辰擁有一條專用的工業防火牆產品線，有不同款式。啟明星辰IFW支持基於Modbus/TCP、Modbus/RTU、nIEC104、OPC和Ethernet/IP的深度過濾功能。除了基本的防火牆功能外，IFW還支持工業IPS、工業VPN和流量自學習功能，適用於監督控制和數據採集系統（SCADA）、分布式控制系統（DCS）、可編程控制系統（PCS）、可編程邏輯控制器（PLC）協議以及應用程式。

產品策略：該供應商擁有威脅情報（TI）關聯平臺：VenusEye威脅情報平臺，該平臺是一個單獨的產品。該平臺將來自VenusEye的不同資源和產品的TI進行關聯，基於內置模板，提供集中式關聯和威脅評分。該產品可從管理UI內與啟明星辰防火牆直接集成，因而對需要額外威脅情報的防火牆用戶來說易於使用。

客戶反饋：受訪供應商對啟明星辰防火牆易於使用和管理的優點評價很高。

公共云：啟明星辰防火牆不支持公共IaaS平臺的按需付費許可，而大多數防火牆供應商提供。該供應商目前僅為阿里雲和騰訊雲支持BYOL。

產品：該供應商僅提供本地沙盒設備，缺少基於雲的沙盒服務，大多數競爭對手將其作為附加的訂購服務來提供。

產品：啟明星辰缺少與EDR供應商集成的功能，不提供自己的EDR客戶端。一些客戶更喜歡防火牆和端點之間的額外威脅情報和關聯功能，以提供高級的威脅檢測功能。

客戶反饋：受訪客戶聲稱內置的防火牆報告功能很基本，需要SIEM等其他產品或訂購TI中心，才能獲得更詳細的報告。

地理布局：啟明星辰主要在中國銷售產品，在中國以外，它不太受客戶的青睞，通常無緣最終名單；然而，該供應商努力在東南亞擴大版圖。